csrf漏洞介绍
一、定义
Cross-Site Request Forgery跨站请求伪造
理解:
1.跨站点的请求
2.请求是伪造的。(假装可信)
它是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法
二、定义
csrf漏洞的成因就是网站的cookie在浏览器中不会过期,只要不关闭浏览器或者退出登录那以后只要是访问这个网站,都会默认你已经登录的状态。而在这个期间,攻击者发送了构造好的csrf脚本或包含csrf脚本的链接,可能会执行一些用户不想做的功能(比如是添加账号等)。这个操作不是用户真正想要执行的
三、CSRF模型
1.用户登录受信任网站A,并在本地生成Cookie
2.在不登出A的情况下,访问危险网站B
CSRF攻击过程
1.用户登录受信任网站A,并在本地生成Cookie
2.在不登出A的情况下,访问危险网站B
3.执行危险网站b上面的代码
4.csrf攻击实验
定义
正常的CSRF攻击,增删改等操作(基于操作的csrf )另类的CSRF :JSONP、 CORS、Flash跨域劫持(基于文件读取的csrf )
本质
CSRF的本质就是在不知情的情况下执行请求
根据请求分为:get类型csrf,post
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
